浅谈信息安全

摘 要：伴随着网络的普及，随着而来的不仅仅是人们生活、生产上的便利，还有对个人、企业甚至国家信息安全的挑战。从技术和产品角度，提供信息安全的现状，为从事信息安全工作提供参考。

关键字：信息安全；技术；产品

互联网的迅速发展直接牵动了科技创新、信息产业的发展和知识经济的勃兴；信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础。信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变。全球化和信息化的潮流，给我国带来了难得的发展机遇，同时也在国际斗争和国家安全方面提出了严峻的挑战。信息安全问题已从单纯的技术性问题变成事关国家安全的全球性问题。

一、信息安全的问题会引起国家面临许多其他的安全威胁，比如：信息霸权的威胁，经济安全的威胁，舆论安全的威胁，社会稳定的威胁。网络空间打破了传统的地缘政治格局，信息霸权日益成为国家安全的新威胁。网络空间的权利制衡包括制信息化权、制信息权、制创新权和网络能力的制衡权。以信息为武器，在数字化地球这个新的国际舞台上，各国将围绕信息化利益展开政治角逐。信息霸权已成为政治扩展的新武器。信息化还会给日益全球化的经济带来安全隐患，国民经济运行与监管的安全，国家金融资本流动与运作的安全，证券市场的安全，经济金融网络的安全，经济信息的安全等。信息化网络是传媒的革命，对文化和文明提出了新挑战：多样的文化将共存在一个互联网上，文明的冲突直接表现为信息的冲突，舆论操纵已成为互联网上的政治武器，文化侵略是国家必须面临的持久战。而且，信息化社会的安定依赖信息基础设施，政府管理、航空运输、水、通信传播、指挥调度、财税经贸、日常生活都要依靠信息系统和信息化设备。信息基础设施一旦遭到破坏，立即就会引发社会不安和动荡。

二、信息技术和产品逐渐成为信息安全的基础和焦点。信息技术已成为应用面最广、渗透性最强的战略性技术。信息安全问题日益突出，信息安全产业应运而生。信息安全产品和信息系统固有的敏感性和特殊性，直接影响着国家的安全利益和经济利益。各国政府纷纷采取颁布标准，实行测评认证制度等方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制。

三、网络安全产品供应厂家基本可分为三类：部级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。常用的一些信息安全产品有：加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品，此外，还有身份鉴别产品、证书机关、物理安全产品。加密产品是非常传统的信息安全产品，主要提供信息加密功能。加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。防火墙是用于实施网络访问控制的产品，是最常见也是中国国内技术非常成熟的信息安全产品之一。防病毒产品是中国国内最早出现并大规模使用的信息安全产品。国内外生产的厂家很多，目前能够在国内获得一定市场的都是不错的产品。入侵检测产品是近一两年发展起来的，主要用于检测网络攻击事件的发生。国内外供货厂家也较多。身份鉴别产品也属于非常传统的产品，目前技术成熟的是一些基于信息技术的鉴别产品。一些基于生理参数（如：指纹、眼纹）的技术和产品发展很快，已经有成熟产品推出。虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备，该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体，是用户以非常低的成本构建专用网络的一种非常重要的产品。证书机关是一类非常基础的产品，任何基于证书体制实现安全的信息系统都需要该产品。物理安全产品是非常特殊的信息安全产品，如干扰器、隔离计算机、隔离卡等，其主要功能是确保信息处理设备的物理安全，提供诸如防电磁辐射、物理隔离等功能。

四、传统的安全测评方法像厂商自测、商业性测试、攻击性检测等存在着不足，缺乏标准的安全需求规范、缺乏通用的安全测评准则、缺乏客观的安全测评工具、缺乏专业的安全测评人员、缺乏公正的第三方测评机制和完善的测评认证体系。而测评认证是信息安全保障的重要环节，世界各国都将测评认证体系作为国家信息化的重要基础设施，由信息安全主管部门和质量监督部门共同负责管理。测评认证已成为国际性话题。各国政府在充分认识到全球化和信息化利弊的基础上对信息安全都予以高度重视，各国为适应信息化时代国际竞争的新形势纷纷成立了专门的测评认证机构，有条件的互认是各国参与国际化和维护自的务实选择。

五、信息安全产品的种类比较多，许多安全产品的功能上也有一定交叉，在选型时有几个基本原则。适用原则，绝对的安全是不存在的，因此您必须具有“安全风险”意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性，减小安全事件所造成的损失，提供弥补损失的手段。也不可能追求绝对的安全。应考虑清楚自己信息系统最大的安全威胁来自何处，信息系统中最有价值的是什么，信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全威胁，将可能的损失减小到可以接受的范围之内，就可以了。不降低信息系统综合服务品质的原则，目前中国许多企业往往是在信息系统规划（或建设）完成之后才考虑信息安全，即所谓的“打安全补丁”。这种“补丁”做法往往会给信息安全产品的选型带来很多困难，因为很多时候，信息安全与系统的使用便利性和效率往往是一对矛盾。需要在考虑安全性的前提下，综合系统的其它性能，结合评估系统的服务品质，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。

六、安全策略分为基于身份的安全策略和基于规则的安全策略种。基于身份的安全策略是过滤对数据或资源的访问，有两种执行方法：若访问权限为访问者所有，典型的作法为特权标记或特殊授权，即仅为用户及相应活动进程进行授权；若为访问数据所有则可以采用访问控制表（ACL）。这两种情况中，数据项的大小有很大的变化，数据权力命名也可以带自己的ACL基于规则的安全策略是指建立在特定的，个体化属性之上的授权准则，授权通常依赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记，而且用户活动应该得到相应的安全标记。

总的看来，对等网络将成为主流，与网格共存。网络进化的未来―绿色网络―呼唤着新的信息安全保障体系。国际互联网允许自主接入，从而构成一个规模庞大的，复杂的巨系统，在如此复杂的环境下，孤立的技术发挥的作用有限，必须从整体的和体系的角度，综合运用系统论，控制论和信息论等理论，融合各种技术手段，加强自主创新和顶层设计，协同解决网络安全问题。保证网络安全还需严格的手段，未来网络安全领域可能发生三件事，其一是向更高级别的认证转移；其二，目前存储在用户计算机上的复杂数据将“向上移动”，由与银行相似的机构确保它们的安全；第三，是在全世界的国家和地区建立与驾照相似的制度，它们在计算机销售时限制计算机的运算能力，或要求用户演示在自己的计算机受到攻击时抵御攻击的能力。

参考文献：

[1]《信息安全导论》武汉大学出版社 2008年8月第一版

[2]《信息安全与网络安全研究新进展》中国科学技术大学出版社 2007年7月第一版

作者简介：

徐丹（1992.12―），女，山东德州人，长安大学信息工程学院2010级软件工程系在读本科生，主要研究方向：计算机软件和理论。